من مشتری دسکتاپ را برای یک فروشگاه الکترونیکی ایجاد می کنم و این مشتری از بعضی از توابع با استفاده از API e-shop استفاده خواهد کرد، مانند:
GetOrders
UpdateOrder
SetOrder
و غیره...
من تأیید هویت سفارشی را برای آن مشتری ایجاد می کنم، اما نمی دانم این است که در برابر حملات امن است.
تمام ارتباطات با سرویس گیرنده توسط HTTPS انجام می شود.
این کار به این صورت است: [19659006] در اولین درخواست مشتری باید نام کاربری و رمز عبور را برای
سرور بنابراین سرویس گیرنده هش رمز عبور را به چه کاربر ورودی و سپس پس از آن
مشتری درخواست را به سرور با نام کاربری و هشدار ارسال خواهد کرد
رمز عبور
سرور رمز عبور هشدار را با رمز عبور هشدار در DB مقایسه می کند
نام کاربری، اگر آن برابر باشد، سرور سرور را ایجاد می کند (مانند api key)
در هر درخواست سرور موفق، طول عمر نشانه را تجدید می کند.
درخواست ها باید مانند این باشد:
] POST / دستورات / دریافت HTTP / 1.1
میزبان: example.com
token = 123456789 & orderid = 10
آیا توصیه های امنیتی وجود دارد اگر من باید از درخواست های POST یا درخواست های GET استفاده کنم؟ آیا POST امن تر نیست و سپس دریافت؟ به عنوان مثال POST اطلاعات را در قسمت درخواست HTTP ذخیره می کند، اما GET آن را در URL ذخیره می کند.
